Cisco IPS测试方案v1.docx
- 文档编号:30154808
- 上传时间:2023-08-05
- 格式:DOCX
- 页数:11
- 大小:1.11MB
Cisco IPS测试方案v1.docx
《Cisco IPS测试方案v1.docx》由会员分享,可在线阅读,更多相关《Cisco IPS测试方案v1.docx(11页珍藏版)》请在冰豆网上搜索。
CiscoIPS测试方案v1
IPS测试报告
目录
1.管理IPS模块3
2.将流量导入IPS4
3.设置IPS的检测特性集以及针对特性集的动作方式8
4.查看Log日志12
1.管理IPS模块
1.1使用https:
//x.x.x.x登录进入IPS模块;
1.2运行IDP管理软件,管理IPS;
1.3进入到IPS的管理界面;
可以在此界面看到IPS当前的状态,同时可以对IPS做相应的配置。
2.将流量导入IPS
进入ASDM管理ASA防火墙;
点击“Configuration”>“Firewall”>”ServicePolicyRules”>”Add”
在弹出的对话框中选择准备使用IPS过滤流量的端口,点击“Next”,
选择该接口上准备使用IPS过滤流量的类型,我们在这选择“Anytraffic”,点击“Next”;
设置IPS的部署模式,可以选择InlineMode(IPScandropthepacket)或者promiscousMode(IPScannotdropthepacket);
设置当IPS失效后,IPS能否被旁路。
Permittraffic是可以旁路,Closetraffic是不能旁路。
设置当前用于检测流量的特征集。
当前我们选择Inline模式,允许旁路和IPS默认的特征集。
如下
最后点击“Finish”,则此接口上的流量将会被导入IPS进行检测。
3.设置IPS的检测特性集以及针对特性集的动作方式
在IDM中点击“Configuration”>”Policies”>”SignatureDefinitions”,可以看到当前IPS的检测特性集的配置。
按照上图所示,左边的状态栏的Sig0显示的是当前IPS默认配置特征集的类别,包括攻击性特征类,邮件特性类,网络服务类,IM即时通讯类,P2P类等。
右边为每种类别当中具体的特征码。
如特征码ID为1000/0的IPoption-BadOption,其为启用enable状态,安全级别为information,如果包含此类特征码的流量通过IPS,则会发Log警告信息,但不会对流量做控制;
如特征码ID为1202/0的IPFragmentOverrun,其为启用enable状态,安全级别为Highrisk,如果包含此类特征码的流量通过IPS,则会发Log警告信息,同时会将流量做阻断;
Cisco会对现在网络上的攻击行为定义相应的特征码集合,并为其不同的特性定义相应的安全威胁等级,已经预先设置包含此特征码的流量是否被阻断。
更改默认的特征码的动作方式
如果需要对Cisco默认的特征码动作做更改的,可以选择特征码在点击“EditActions”。
则会弹出上面窗口,可以根据需要进行修改。
定义IPS的规则
特征码的安全级别分为高风险级别,中风险级别和低风险级别,可以根据每种不同的级别做动作,如图
点击“rule0”>双击相应风险级别>编辑动作,如下图
点击“OK”,编辑完毕。
最后点击“IPSPolicies”,可以看到IPS对各种风险等级流量的控制。
配置完成,现在IPS能够将流量按照设置的特征码的进行匹配以及动作。
4.查看Log日志
点击“Monitoring”>”Event”,如下图
点击“View”,可以看到IPS对流量进行检测的日志信息。
由上图可以看到,当前IPS对流量进行检测控制的详细信息。
例如攻击发现时间,事件的定义以及对流量的控制信息。
Reestar*Flyforever
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- Cisco IPS测试方案v1 IPS 测试 方案 v1